FireEye AX
集成版本:3.0
使用场景
丰富实体。
在 Google Security Operations 中配置 FireEye AX 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://<<IP 地址>> | 是 | Trellix 恶意软件分析实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Trellix Malware Analysis 账号的用户名。 |
| 密码 | 密码 | 不适用 | 是 | Trellix Malware Analysis 账号的密码。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Trellix 恶意软件分析服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 Trellix Malware Analysis 的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
该操作应失败并停止 playbook 执行:
|
常规 |
提交网址
说明
在 Trellix Malware Analysis 中使用网址提交文件以供分析。支持的实体:网址。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 虚拟机配置文件 | 字符串 | 不适用 | 是 | 指定在分析期间应使用的虚拟机配置文件。可在“获取设备详细信息”操作中获取可用的虚拟机配置文件 |
| 应用 ID | 字符串 | 不适用 | 否 | 指定在分析文件期间需要使用的应用的 ID。默认情况下,Trellix Malware Analysis 会自动选择所需的应用。如需获取配置文件中的可用应用列表,请执行“获取设备详情”操作 |
| 优先级 | DDL | 正常 可能的值: 正常 紧急 |
否 | 指定提交内容的优先级。“正常”会将提交内容放在队列底部,而“紧急”会将提交内容放在队列顶部。 |
| 强制重新扫描 | 复选框 | 否 | 如果启用,此操作将强制 Trellix Malware Analysis 重新扫描提交的文件。 | |
| 分析类型 | DDL | 直播 可能的值: 直播 沙盒 |
否 | 指定分析类型。如果选择“实时”,Trellix Malware Analysis 将在 Malware Analysis Multi-Vector Virtual Execution (MVX) 分析引擎中实时分析可疑文件。如果选择“沙盒”,Trellix 恶意软件分析将在封闭的受保护环境中分析可疑文件。 |
| 创建分析数据 | 复选框 | 是 | 如果启用,操作将创建包含有关提交文件的信息的分析洞见。 |
运行于
此操作在网址实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
丰富化表
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 恶意 | 以 JSON 格式提供时 |
| 和程度上减少 | 以 JSON 格式提供时 |
实体分析洞见
实体数据分析示例:
恶意:True
严重程度:MINR C&C 服务数量:0 已执行的进程数量:0 注册表更改数量:0 提取的文件数量:0
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
如果其中一个数据不可用(is_success=true):“操作无法使用 Trellix Malware Analysis 中的信息来丰富以下实体:{entity.identifier}” 如果并非所有数据都可用 (is_success=false):则表示未扩充任何提供的实体。 异步消息:正在等待处理以下文件:{pending files} 操作应失败并停止 playbook 执行: 如果超时:“执行操作‘丰富实体’时出错。原因:操作超时。以下文件仍在处理中:{pending urls}。请在 IDE 中增加超时时间。注意:添加相同的文件会在 Trellix Malware Analysis 中创建单独的分析作业。 |
常规 |
| “案例墙”表格 | Title: {entity.identifier} | 实体 |
提交文件
说明
在 Trellix Malware Analysis 中提交文件以供分析。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 文件路径 | CSV | 不适用 | 是 | 指定以英文逗号分隔的提交文件绝对路径列表。 |
| 虚拟机配置文件 | 字符串 | 不适用 | 是 | 指定在分析期间应使用的虚拟机配置文件。可在“获取设备详细信息”操作中获取可用的虚拟机配置文件 |
| 应用 ID | 字符串 | 不适用 | 否 | 指定在分析文件期间需要使用的应用的 ID。默认情况下,Trellix Malware Analysis 会自动选择所需的应用。如需获取配置文件中的可用应用列表,请执行“获取设备详情”操作 |
| 优先级 | DDL | 正常 可能的值: 正常 紧急 |
否 | 指定提交内容的优先级。“正常”会将提交内容放在队列底部,而“紧急”会将提交内容放在队列顶部。 |
| 强制重新扫描 | 复选框 | 否 | 如果启用,此操作将强制 Trellix Malware Analysis 重新扫描提交的文件。 | |
| 分析类型 | DDL | 直播 可能的值: 直播 沙盒 |
否 | 指定分析类型。如果选择“实时”,Trellix Malware Analysis 将在 Malware Analysis Multi-Vector Virtual Execution (MVX) 分析引擎中实时分析可疑文件。如果选择“沙盒”,Trellix 恶意软件分析将在封闭的受保护环境中分析可疑文件。 |
| 创建分析数据 | 复选框 | 是 | 如果启用,操作将创建包含有关提交文件的信息的分析洞见。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
实体分析洞见
实体数据分析示例:
恶意:True
严重程度:MAJR C&C 服务数量:15 已执行的进程数量:0 注册表更改数量:13 提取的文件数量:10
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
异步消息:正在等待处理以下文件:{pending files} 操作应失败并停止 playbook 执行: 如果超时:“执行操作‘提交文件’时出错。原因:操作超时。以下文件仍在处理中:{pending files}。请在 IDE 中增加超时时间。注意:添加相同的文件会在 Trellix Malware Analysis 中创建单独的分析作业。 如果至少有一个文件未找到:“执行操作‘将文件附加到支持请求’时出错。原因:未找到以下文件,或者操作没有足够的权限来访问这些文件:{not available files} |
常规 |
获取设备详情
说明
检索有关 Trellix 恶意软件分析设备的信息。
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"absolute_path": "/opt/wow/koko.exe",
"details":
{
"explanation": {
"malwareDetected": {
"malware": [
{
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147"
},
{
"note": "",
"md5Sum": "29ef299c80d00ee4340b3694d870fe82",
"sha256": "0cff2d41a69d72de30607b8fc09da90e352393e154a342efcddb91e06b3a2147",
"application": "application:0",
"user": "xxxxx",
"original": "vlc-3.0.16-win64.exe",
"type": "exe",
"origid": 176
}
]
},
"osChanges": [],
"staticAnalysis": {
"static": [
{}
]
},
"stolenData": {
"info": {
"field": []
}
}
},
"src": {},
"alertUrl": "https://172.18.5.2/malware_analysis/analyses?maid=177",
"action": "notified",
"attackTime": "2021-09-13 11:15:56 +0000",
"dst": {},
"applianceId": "AC1F6B7A7C8C",
"id": 177,
"name": "xxxxx_xxxxx",
"severity": "MINR",
"uuid": "61330da9-20ad-4196-a901-02b2166ad36d",
"ack": "no",
"product": "MAS",
"vlan": 0,
"malicious": "no"
}
],
"appliance": "MAS",
"version": "MAS (MAS) 9.1.0.950877",
"msg": "extended",
"alertsCount": 1
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。